プロジェクト間のデプロイを設定する

Dataproc Metastore のクロスプロジェクトデプロイを設定して、次のリソースを分離できます。

Dataproc Metastore サービス。
Dataproc Metastore サービスに接続されている Dataproc クラスタ。
Dataproc クラスタで使用されるネットワーク。

始める前に

プロジェクトで Dataproc Metastore を有効にします。
Dataproc Metastore サービスの作成。
プロジェクトに特有のネットワーキング要件を理解します。

必要なロール

Dataproc Metastore と Dataproc クラスタの作成に必要な権限を取得するには、管理者に次の IAM ロールの付与を依頼します。

Dataproc Metastore リソースに対する完全アクセス権を付与する場合: メタストアプロジェクトに対する Dataproc Metastore 編集者（roles/metastore.editor）。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Dataproc Metastore の特定のロールと権限については、IAM によるアクセス管理をご覧ください。

プロジェクト間のデプロイについて

Dataproc Metastore のプロジェクト間のデプロイは、次の構成で構成できます。

2 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタ（クラスタプロジェクト）が含まれています。
- プロジェクト 2 には、Dataproc Metastore サービスとネットワーク（メタストアプロジェクトとネットワークプロジェクト）が含まれています。
2 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタが含まれています。
- プロジェクト 2 には、Dataproc Metastore サービスとネットワーク（メタストアプロジェクトとネットワークプロジェクト）が含まれています。
2 つのプロジェクト:
- プロジェクト 1 には、Dataproc クラスタと Dataproc Metastore サービス（クラスタプロジェクトとメタストアプロジェクト）が含まれています。
- プロジェクト 2 にはネットワーク（ネットワークプロジェクト）が含まれています。
3 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタ（クラスタプロジェクト）が含まれています。
- プロジェクト 2 には、Dataproc Metastore サービス（メタストアプロジェクト）が含まれています。
- プロジェクト 3 にはネットワーク（ネットワークプロジェクト）が含まれています。

次の図は、使用できるプロジェクト構成の概要を示しています。

Dataproc Metastore と Dataproc クラスタのデプロイ時における、あるプロジェクト構成の概要

プロジェクト間の権限

プロジェクト間の権限を設定する前に、構成に必要かどうかを判断します。

プロジェクト間の追加の権限を設定する必要がある

Dataproc クラスタと Dataproc Metastore サービスが別々のプロジェクトにある場合。
Dataproc Metastore サービスとネットワークが別々のプロジェクトにある場合。

プロジェクト間の権限を設定する

クラスタプロジェクトとメタストアプロジェクトが別々のプロジェクトにある場合は、次のロールを付与します。

roles/metastore.user をクラスタプロジェクトの Dataproc サービスエージェントアカウント（メタストアプロジェクトの IAM ポリシーに含まれる）に付与します。この構成は、Thrift エンドポイントプロトコルと gRPC エンドポイントプロトコルの両方に適用されます。

ネットワークプロジェクトとメタストアプロジェクトが別のプロジェクトにある場合は、次のロールを付与します。

roles/metastore.serviceAgent をメタストアプロジェクトのサービスエージェント（ネットワークプロジェクトの IAM ポリシーに含まれている）に付与します。この構成は、Thrift エンドポイントプロトコルにのみ適用されます。

Console

プロジェクト番号を確認するには:

[IAM と管理] の [設定] タブに移動します。
ページの上部にあるプロジェクトリストから、Dataproc クラスタの作成に使用するプロジェクトを選択します。
プロジェクト番号を書き留めます。

権限を構成します。

[IAM] タブに移動します。
ページの上部にあるプロジェクトリストで、メタストアプロジェクトを選択します。
[追加] をクリックします。
[新しいメンバー] 項目にサービスアカウントを入力します。
[ロール] メニューから、[Dataproc Metastore] > [Dataproc Metastore 閲覧者] の順に選択します。
[追加] をクリックします。

上記の手順が完了したら、Dataproc Metastore サービスに接続された Dataproc クラスタを作成できます。これを行うには、Dataproc クラスタのネットワークまたはサブネットワークの構成が Dataproc Metastore のネットワークまたはサブネットワークと一致している必要があります。

例:

gcloud metastore services create SERVICE \
     --network=projects/HOST_PROJECT/global/networks/NETWORK_ID